i Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 Empresa de videojuegos móviles XXX Adrian Belmonte Martín Programa: Máster Universitario en Seguridad de las Tecnologías de la Información y de las Comunicaciones (MISTIC) Área: Sistemas de Gestión de la Seguridad de la Información Consultor: Antonio José Segovia Henares Profesor responsable de la asignatura: Carles Garrigues Olivella Centro: Universitat Oberta de Catalunya
146
Embed
Empresa de videojuegos móviles XXXopenaccess.uoc.edu/webapps/o2/bitstream/10609/...Seguridad de la Información (SGSI) y que fue elaborada por el comité técnico AEN/CTN 71. Es una
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
i
Elaboración de un Plan de Implementación
de la ISO/IEC 27001:2013 Empresa de videojuegos móviles XXX
Adrian Belmonte Martín
Programa: Máster Universitario en Seguridad de las Tecnologías
de la Información y de las Comunicaciones (MISTIC)
Área: Sistemas de Gestión de la Seguridad de la Información
Consultor: Antonio José Segovia Henares
Profesor responsable de la asignatura: Carles Garrigues Olivella
Centro: Universitat Oberta de Catalunya
Fecha entrega:
ii
Esta obra está sujeta a una licencia de Reconocimiento-
NoComercial-SinObraDerivada 3.0 España de Creative
Título del trabajo: Elaboración de un Plan de Implementación de la
ISO/IEC 27001:2013
Nombre del autor: Adrián Belmonte Martín
Nombre del consultor/a: Antonio José Segovia
Nombre del PRA: --
Fecha de entrega (mm/aaaa): 06/06/2016
Titulación:: Máster Universitario en Seguridad de las Tecnologías
de la Información y de las Comunicaciones (MISTIC)
Idioma del trabajo: Castellano
Palabras clave ISO 27000, Activo, Riesgo, Auditoría cumplimiento
Resumen del Trabajo (máximo 250 palabras): Con la finalidad, contexto de aplicación,
metodología, resultados i conclusiones del trabajo.
El presente proyecto ha consistido en una elaboración de un plan de implementación de la
normativa ISO 27001 en la empresa de videojuegos XXX.
Dicha empresa no contaba con ningún tipo de estudio previo. La auditoría se ha dividido en
distintas fases>
La primera fase consistió en un análisis de la empresa en distintos aspectos (funcional,
organizativo, técnico, procedimental, de riesgos, documentación, etc.).
Una vez recopilada toda esta información, se procedió a realizar un análisis diferencial con la
norma ISO 27002 para saber exactamente nuestro punto de partida. Posteriormente se
definió un sistema de gestión documental que incluye política de la seguridad, gestión de
indicadores, responsabilidades, roles, procedimientos de revisión y declaración de
aplicabilidad.
En la fase 3 se procedió a la definición y realización de un análisis de riesgos, siguiendo para
ello la metodología MAGERIT, lo cual nos llevó al cálculo del impacto y el riesgo potencial para
cada activo.
Como Fase 4, se plantean una serie de proyectos para, por un lado, mitigar los riesgos
detectados en el análisis, y por el otro conseguir una mejora en el cumplimiento de la norma.
Estos proyectos se encuentran desglosados y planificados tanto de recursos como
económicamente.
Finalmente, se realiza una auditoría de cumplimiento, donde se puede observar cómo la
organización mejora en los distintos dominios de la seguridad después de la implementación
de los proyectos.
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17
0
Índice 1. Orígenes de la ISO ........................................................................................................................... 5
1.1 La serie ISO 27000 ......................................................................................................................... 6
10.1 (d) revisar la eficacia de las medidas correctivas adoptadas; y L0
10.1 (e ) Realizar cambios en el sistema de gestión de seguridad de la
información, si es necesario. L0
10.1 (f) la naturaleza de las no conformidades y de cualquier acción tomada
posteriormente, y L0
10.1 (g) Los resultados de cualquier acción correctiva. L0
10,2 Mejora continua L0
Tabla 2 Estado actual de la empresa con respecto a la norma
Dominio % de
conformidad # NC
mayores # NC
menores # NC OK
4 Contexto de la organización 5% 5 0 0
5 Liderazgo 1% 14 0 0
6 Planificación 0% 31 0 0
7 Soporte 10% 14 3 0
8 Funcionamiento 0% 3 0 0
9 Evaluación de Rendimiento 5% 23 0 0
10 Proceso de mejora 0% 11 0 0 Tabla 3 Conformidades
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
23
Ilustración 5 Niveles de conformidad ISO 27001
0%
5%
10%
15%
Contexto de laorganización
Liderazgo
Planificación
Soporte Funcionamiento
Evaluación deRendimiento
Proceso demejora
% de conformidad con ISO 27001:2013 por requerimiento
% de conformidad
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
24
4.2 Análisis diferencial ISO 27002:2013
El análisis diferencial nos será útil para comparar el estado actual de la organización con la norma y
para, posteriormente, comparar el nivel de implementación de la misma.
A.5 Política de Seguridad Cumplimiento Observaciones
A5.1 Directrices de la Dirección en seguridad de la
información
A.5.1.1 Conjunto de políticas para la seguridad de la información.
L0 No se dispone de unas directrices en seguridad de la información
A.5.1.2 Revisión de las políticas para la seguridad de la información
L0 No se dispone de unas directrices en seguridad de la información
A.6 Aspectos organizativos de la seguridad de la información
A.6.1 Organización Interna
A.6.1.1 Asignación de responsabilidades para la segur. de la información.
L2 Algunas tareas si se encuentran definidas, pero no de una manera documentada y procesada
A.6.1.2 Segregación de tareas. L2 Algunas tareas si se encuentran definidas, pero no de una manera documentada y procesada
A.6.1.3 Contacto con las autoridades. L0
A.6.1.4 Contacto con grupos de interés especial.
L0
A.6.1.5 Seguridad de la información en la gestión de proyectos.
L0
A.6.2 Dispositivos para movilidad y teletrabajo.
A.6.2.1 Política de uso de dispositivos para movilidad
L0 A pesar de utilizar dispositivos en movilidad constantemente, no existe una política clara al respecto
A.6.2.2 Teletrabajo L0 A pesar de utilizar dispositivos en movilidad constantemente, no existe una política clara al respecto
A.7 La seguridad ligada a los recursos humanos
A.7.1 Antes de la contratación
A.7.1.1 Investigación de antecedentes
L0
A.7.1.2 Términos y condiciones de contratación
L2 Se realiza de manera parcial
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
25
A.7.2 Durante la contratación
A.7.2.1 Responsabilidades de gestión L1
A.7.2.2 Concienciación, educación y capacitación en segur. de la
informac.
L2 Se realizan algunos cursos internos, pero sin una estructura ni finalidad clara
A.7.2.3 Proceso Disciplinario L0
A.7.3 Cese o cambio de puesto de trabajo.
A.7.3.1 Cese o cambio de puesto de trabajo.
L0
A.8 Gestión de Activos
A.8.1 La responsabilidad de los activos
A.8.1.1 Inventarios de Activos L0
A.8.1.2 Propiedad de Activos L0 La propiedad de los activos es de los usuarios finales (se los deja en propiedad)
A.8.1.3 Uso aceptables de los activos N/A
A.8.1.4 Devolución de activos N/A
A.8.2 Clasificación de la información
A.8.2.1 Directrices de clasificación L0
A.8.2.2 Etiquetado de la información y la manipulación
L0
A.8.2.3 Manipulación de activos L0
A.8.3 Manejo de los soportes de almacenamiento
A.8.3.1 Gestión de soportes extraíbles.
L0
A.8.3.2 Eliminación de soportes L0 No se tiene una política clara al respecto a pesar de que ha sido necesario varias veces.
A.8.3.3 Soportes físicos en tránsito L0
A9 Control de Acceso
A9.1 Requerimiento de negocio de control de acceso
A9.1.1 Política de control de acceso L1 Los guardias del edificio pueden controlar si entra alguien ajeno, pero no llevan un control exhaustivo
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
26
A9.1.2 Control de acceso a las redes y servicios asociados.
L0
A9.2 Gestión de acceso de los usuarios
A9.2.1 Gestión de altas/bajas en el registro de usuarios.
L1 Se gestiona según vaya siendo necesario. No existe ningún procedimiento estandarizado ni se encuentra documentado
A9.2.2 Gestión de los derechos de acceso asignados a usuarios.
L1
A9.2.3 Gestión de los derechos de acceso con privilegios
especiales
L1
A9.2.4 Gestión de información confidencial de autenticación
de usuarios
L1
A9.2.5 Revisión de los derechos de acceso de los usuarios
L1 Se modifican o eliminan usuarios de freelance según se vea que es necesario, pero no existe ningún procedimiento estandarizado ni se encuentra documentado
A9.2.6 Retirada o adaptación de los derechos de acceso
L1 Se modifican o eliminan usuarios de freelance según se vea que es necesario, pero no existe ningún procedimiento estandarizado ni se encuentra documentado
A9.3 Responsabilidades de los usuarios
A9.3.1 Uso de información confidencial para la
autenticación.
L0
A9.4 Control de acceso a sistemas y aplicaciones
A9.4.1 Restricción del acceso a la información
L1
A9.4.2 Procedimientos seguros de inicio de sesión
L0
A9.4.3 Gestión de contraseñas de usuario
L2 Solo en servidores de la empresa
A9.4.4 Uso de herramientas de administración de sistemas.
L2
A9.4.5 Control de acceso al código fuente de los programas
L3
A10 Cifrado
A10.1 Controles criptográficos.
A10.1.1 Política de uso de los controles criptográficos
L0
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
27
A10.1.2 Gestión de claves L0
A.11 Seguridad Fisica y ambiental
A11.1 Areas Seguras
A11.1.1 Perímetro de seguridad física L0
A11.1.2 Controles de entradas físicas L0
A11.1.3 Seguridad de oficinas, despachos y recursos.
L2
A11.1.4 Protección contra las amenazas externas y
ambientales.
L2 Solo en sala de servidores
A11.1.5 El trabajo en áreas seguras. N/A
A11.1.6 Zonas de acceso público, de entrega y de carga
N/A
A11.2 Seguridad de los equipos
A11.2.1 Emplazamiento y protección de equipos
L2 Solo en sala de servidores
A11.2.2 Instalaciones de suministro L0 Solo en sala de servidores
A11.2.3 Seguridad del cableado L4
A11.2.4 Mantenimiento de los equipos L4
A11.2.5 Salida de activos fuera de las dependencias de la empresa
L0 No se tiene controlado
A11.2.6 Seguridad de los equipos y activos fuera de las
instalaciones
L0 Depende del usuario. No existe una política común para esto
A11.2.7 Reutilización o retirada segura de dispositivos de
almacenamiento
L0 No se tiene un procedimiento definido para la retirada o reutilización segura
A11.2.8 Equipo informático de usuario desatendido.
L0
A11.2.9 Política de puesto de trabajo despejado y bloqueo de
pantalla
L0 No hay política común para esto
A12 Seguridad en la operativa
A12.1 Responsabilidades y procedimientos de
operación
A12.1.1 Documentación de procedimientos de operación
L4 Los procedimientos de operación se encuentran definidos
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
28
A12.1.2 Gestión del Cambio L1 La gestión de cambio se encuentra definida, pero no documentada
A12.1.3 Gestión de capacidades L4
A12.1.4 Separación de entornos de desarrollo, prueba y
producción.
L4 Se encuentra correctamente separado los entornos
A12.2 Protección contra código malicioso
A12.2.1 Controles contra el código malicioso
L2 Sólo en servidores de la empresa
A12.3 Copias de seguridad
A12.3.1 Copias de seguridad de la información
L3 Solo en servidores de la empresa. Los usuarios no están obligado a hacer copias de sus datos
A12.4 Registro de actividad y supervisión
A12.4.1 Registro y gestión de eventos de actividad
L1 Se encuentra activado. No existe procedimiento estándar de revisión y actuación
A12.4.2 Protección de los registros de información
L2
A12.4.3 Registros de actividad del administrador y operador del
sistema
L1
A12.4.4 Sincronización de relojes L2 Sólo en servidores se comprueba fehacientemente.
A12.5 Control del software en explotación.
A12.5.1 Instalación del software en sistemas en producción
L4
A12.6 Gestión de la vulnerabilidad técnica
A12.6.1 Gestión de las vulnerabilidades técnicas
L0
A12.6.2 Restricciones en la instalación de software.
L2 Sólo en servidores
A12.7 Consideraciones de las auditorías de los sistemas
de información
A12.7.1 Controles de auditoría de los sistemas de información
L0
A13 Seguridad en las telecomunicaciones
A13.1 Gestión de la seguridad en las redes
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
29
A13.1.1 Controles de red. L2 Varios controles en la red
A13.1.2 Mecanismos de seguridad asociados a servicios en red
L1
A13.1.3 Segregación de redes L0
A13.2 Intercambio de información con partes externas
A13.2.1 Políticas y procedimientos de intercambio de información
L0
A13.2.2 Acuerdos de intercambio L0
A13.2.3 Mensajería electrónica. L0
A13.2.4 Acuerdos de confidencialidad y secreto
L0
A14 Adquisición, desarrollo y mantenimiento de los sistemas de infor.
A14.1 Requisitos de seguridad de los sistemas de
información
A14.1.1 Análisis y especificación de los requisitos de seguridad
L0
A14.1.2 Seguridad de las comunicaciones en servicios
accesibles por redes
L3 Sólo donde es requerido por cumplimiento de terceros
A14.1.3 Protección de las transacciones por redes
telemáticas
L3 Sólo donde es requerido por cumplimiento de terceros
A14.2 Seguridad en los procesos de desarrollo y soporte
A14.2.1 Política de desarrollo seguro de software
L2 Se realizan pruebas de seguridad durante el despliegue, pero no están estandarizadas ni documentadas
A14.2.2 Procedimientos de control de cambios en los sistemas
L3 Se lleva un control de los cambios en el Software
A14.2.3 Revisión técnica de las aplicaciones tras efectuar
cambios en el S.O
L2 Sólo en los servidores
A14.2.4 Restricciones a los cambios en los paquetes de software
L0
A14.2.5 Uso de principios de ingeniería en protección de
sistemas
L2
A14.2.6 Seguridad en entornos de desarrollo
L2 Depende mucho del sistema del usuario final
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
30
A14.2.7 Externalización del desarrollo de software
L4
A14.2.8 Pruebas de funcionalidad durante el desarrollo de los
sistemas
L3
A14.2.9 Pruebas de aceptación L3
A14.3 Datos de prueba
A14.3.1 Protección de los datos utilizados en pruebas
L4 Se realiza una copia de los datos en las pruebas
A15 Relaciones con los suministradores
A15.1 Seguridad de la información en las
relaciones con suministradores
A15.1.1 Política de seguridad de la información para suministradores
L0
A15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores
L0
A15.1.3 Cadena de suministro en tecnologías de la información
y comunicaciones
L0
A15.2 Gestión de la prestación del servicio por
suministradores
A15.2.1 Supervisión y revisión de los servicios prestados por
terceros
L4 Cumplimientos de SLA de proveedores en cloud
A15.2.2 Gestión de cambios en los servicios prestados por
terceros
L2
A16 Gestión de incidentes en la seguridad de la información
A16.1 Gestión de incidentes de seguridad de la información
y mejoras.
A16.1.1 Responsabilidades y procedimientos
L0
A16.1.2 Notificación de los eventos de seguridad de la información
L0
A16.1.3 Notificación de puntos débiles de la seguridad
L0
A16.1.4 Valoración de eventos de seguridad de la información y
toma de decisiones
L0
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
31
A16.1.5 Respuesta a los incidentes de seguridad
L0
A16.1.6 Aprendizaje de los incidentes de seguridad de la
información
L0
A16.1.7 Recopilación de evidencias L0
A17 Aspectos de seguridad de la información en la gestión de la continuidad de negocio
A17.1 Continuidad de la seguridad de la información
A17.1.1 Planificación de la continuidad de la seguridad
de la información
L0 No existe un plan adecuado que garantice la continuidad del negocio
A17.1.2 Implantación de la continuidad de la seguridad
de la información
L0
A17.1.3 Verificación, revisión y evaluación de la continuidad
de la seguridad
L0
A17.2 Redundancias
A17.2.1 Disponibilidad de instalaciones para el procesamiento de la
información
L0
A18 Cumplimiento
A18.1 Cumplimiento de los requisitos legales y
contractuales.
A18.1.1 Identificación de la legislación aplicable
L4 En temas de legislación y protección de datos se cumplen los requisitos
A18.1.2 Derechos de propiedad intelectual (DPI)
L4 Se cumple, sin embargo, no según los criterios
ISO
A18.1.3 Protección de los registros de la organización.
L4
A18.1.4 Protección de datos y privacidad de la información
personal
L4
A18.1.5 Regulación de los controles criptográficos
L4
A18.2 Revisiones de la seguridad de la información
A18.2.1 Revisión independiente de la seguridad de la información
L0
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
32
A18.2.2 Cumplimiento de las políticas y normas de seguridad
L3
A18.2.3 Comprobación del cumplimiento
L0
Tabla 4 Análisis diferencial ISO 27002
Dominio % de
conformidad # NC baja
efectividad # NC alta
efectividad # NC OK
A.5 POLÍTICAS DE SEGURIDAD 0% 2 0 0
A.6
ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION. 10% 5 2 0
A.7
SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. 15% 4 2 0
A.8 GESTIÓN DE ACTIVOS. 0% 8 0 0
A.9 CONTROL DE ACCESOS. 14% 11 3 0
A.10 CIFRADO. 0% 2 0 0
A.11 SEGURIDAD FÍSICA Y AMBIENTAL. 26% 8 3 2
A.12 SEGURIDAD EN LA OPERATIVA. 62% 5 5 4
A.13
SEGURIDAD EN LAS TELECOMUNICACIONES. 10% 6 1 0
A.14
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN. 73% 2 9 2
A.15 RELACIONES CON SUMINISTRADORES. 36% 3 1 1
A.16
GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.
0% 7 0 0
A.17
ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.
0% 4 0 0
A.18 CUMPLIMIENTO. 63% 2 1 5 Tabla 5 Conformidades
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
33
Ilustración 6 Porcentaje de conformidad por dominios
0%
2%
4%
6%
8%
10%
12%
14%
A.5
A.6
A.7
A.8
A.9
A.10
A.11
A.12
A.13
A.14
A.15
A.16
A.17
A.18
% de conformidad con ISO 27002:2013 por dominios
% de conformidad
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
34
Ilustración 7 Porcentaje de conformidad por dominios (Completo)
Valor Efectividad Significado Descripción Número
L0 0% Inexistente Carencia completa de cualquier proceso conocido. 57
L1 10% Inicial / Ad-hoc
Procedimientos inexistentes o localizados en áreas concretas. El éxito de las tareas se debe a esfuerzos personales. 13
L2 50% Reproducible, pero intuitivo
Existe un método de trabajo basado en la experiencia, aunque sin comunicación formal. Dependencia del conocimiento individual 19
L3 90% Proceso definido
La organización en su conjunto participa en el proceso. Los procesos están implantados, documentados y comunicados. 8
L4 95% Gestionado y medible
Se puede seguir la evolución de los procesos mediante indicadores numéricos y estadísticos. Hay herramientas para mejorar la calidad y la eficiencia 14
L5 100% Optimizado
Los procesos están bajo constante mejora. En base a criterios cuantitativos se determinan las desviaciones más comunes y se optimizan los procesos 0
L6 N/A No aplica 3 Tabla 6 Recuento Total de Controles de la norma ISO27002 en base a CMM
0%
20%
40%
60%
80%A.5
A.6
A.7
A.8
A.9
A.10
A.11
A.12
A.13
A.14
A.15
A.16
A.17
A.18
% de conformidad con ISO 27002:2013 por dominios
% de conformidad
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
35
Tabla 7 Conformidades por dominio
Ilustración 8 Porcentaje de aprobados sobre el total
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
36
5. Política de seguridad
La empresa tiene el compromiso de realizar una política de seguridad en donde se establece la
estrategia de la empresa y la implicación de la alta dirección respecto a la definición, desarrollo,
mantenimiento y mejora de un SGSI, así como la definición e implementación de políticas específicas
que la dirección considere de obligado cumplimiento por todos los trabajadores o colaboradores de
la misma.
5.1 Objetivo de la política de seguridad
La política de seguridad es una declaración ética, responsables y de estricto cumplimiento en toda la
organización, la cual se desarrolla y concreta en políticas, normas, guías y estándares de segundo
nivel. Como constituyente del primer nivel de la pirámide jerárquica en seguridad de la información,
se establecen las directrices en seguridad de la información, alineadas con los objetivos del negocio y
la legislación aplicable, todo ello refrendado y con el compromiso de la Dirección de la compañía.
Los objetivos de la política de seguridad son los siguientes:
Entender que la información en toda la organización debe ser protegida, manteniendo los
niveles óptimos de seguridad, permitiendo velar porque dicha información (sea propia y/o de
terceros) se le conserve los tres pilares básicos de la seguridad de la información:
confidencialidad, integridad y disponibilidad.
La empresa proveerá de las medidas técnicas y organizativas necesarias orientadas a detectar
y corregir las vulnerabilidades de seguridad que se detecten e intentar garantizar un entorno
seguro en el tratamiento de la información, así como todas las medidas para difundir y
promover la seguridad de la información en todos sus dominios
Los trabajadores deben incluir la cultura de seguridad como parte de sus funciones diarias, ya
que sin la implicación de los mismo, no será posible un correcto funcionamiento del SGSI, así
mismo, los trabajadores deberán ser proactivos en el mantenimiento y mejora del SGSI, de
tal que forma que propongan las mejoras que estimen oportunas y pongan en conocimiento
del responsable de seguridad o del SGSI cualquier incidente de seguridad que observen.
Las normas definidas en la política de seguridad serán de obligado cumplimiento por
cualquiera que trate con la información de la organización, se definirán controles para que los
distintos colaboradores y empleados respeten el deber de secreto de la información.
Todos los trabajadores y personal que trate con la información deberán conocer y aceptar la
política de seguridad de la empresa.
La empresa tomará las medidas y acciones que considere oportunas para hacer cumplir con
la política de seguridad.
5.2 Alcance de la política de seguridad
La Política de Seguridad es de aplicación a todos los activos de la empresa, ya sean en formato papel,
informático o audiovisual y debe ser conocida y aceptada por todo el personal que trate con
información de la empresa ya sea interno o externo.
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
37
Debido al tamaño de la empresa, el alcance se aplica a todos los procesos de la misma, sin embargo,
debe entenderse como un proceso continuo de maduración y mejora.
5.3 Estructura organizacional
Como reflejo del compromiso de la dirección con la seguridad, se acuerda que dentro del área de
infraestructura y sistemas (y bajo las órdenes del responsable del área correspondiente) se cree un
área de seguridad cuya principales responsabilidades serán:
Liderar la implementación y mantenimiento del SGSI.
Llevar a cabo las auditorias del SGSI de manera periódica.
Generar las respectivas acciones preventivas, correctivas y de mejora sobre el sistema.
Despliegue y mantenimiento de plataformas de seguridad: Firewalls, IDS, SIEM y plataformas
de Threat Intelligence.
Revisión de incidencias y correlación de logs para determinar posibles incidentes de
seguridad.
Participar de las capacitaciones programadas.
Verificar los informes de la auditoría.
Crear, ajustar e implementar los planes de toma de conciencia y capacitación sobre seguridad.
Utilizar todos los medios técnicos y profesionales a su alcance para implementar y mantener
el SGSI.
Realizar análisis de riesgos de seguridad de la información.
Gestionar, realizar y/o liderar pruebas de instrucción y Ethical hacking.
Convocar a las reuniones/comités de seguimientos.
Respuesta a incidentes de seguridad.
Liderar los planes de auditoría, retroalimentando al comité de seguridad.
Ejecutar las acciones con ética, respeto, transparencia, independencia e imparcialidad.
Este área contará con un responsable de seguridad propio y será dotada de personal y recursos
suficientes para la realización de sus actividades y ser encargado de coordinar el equipo de trabajo
(equipo de seguridad), recibir y asignar funciones y tareas a los miembros del equipo de seguridad,
coordinar y gestionar las capacitaciones en seguridad, gestionar elementos contractuales, con
proveedores y el presupuesto.
5.4 Gestión de Roles y responsabilidades
Se procede a definir los siguientes roles y comités:
5.4.1 El Comité de Dirección de la compañía
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
38
En primer lugar se deberá crear un Comité de Dirección con los altos cargos de la compañía. En este
caso, estará formado por los socios fundadores de la empresa, cualquier decisión tomada por este
comité en materia de seguridad deberá quedar recogida en un acta de reunión.
Las funciones en materia de seguridad de la información del Comité de Dirección de la compañía son
las siguientes:
Hacer de la seguridad de la información un punto de la agenda del Comité de Dirección de la
compañía.
Nombrar a los miembros de un Comité de Seguridad de la Información y darles soporte,
dotarlo de los recursos necesarios y establecer sus directrices de trabajo.
Aprobar la política, normas y responsabilidades generales en materia de seguridad de la
información.
Determinar el umbral de riesgo aceptable en materia de seguridad.
Analizar posibles riesgos introducidos por cambios en las funciones o funcionamiento de la
compañía para adoptar las medidas de seguridad más adecuadas.
Aprobar el Plan de seguridad de la información, que recoge los principales proyectos e
iniciativas en la materia.
Realizar el seguimiento del cuadro de mando de la seguridad de la información.
5.4.2 El Comité de Seguridad de la Información (CSI)
Es nombrado por el comité de dirección. Las decisiones en materia de seguridad de la información son
tomadas de forma consensuada por un grupo formado por diferentes responsables dentro de la
compañía.
En este caso particular estará formado por cuatro miembros permanentes:
Un miembro del comité de dirección (Socio fundador de la empresa)
Responsable de área de desarrollo
Responsable del área de sistemas e infraestructuras
Responsable del área de seguridad
En principio, al no contar con dichos departamentos, los responsables jurídicos y de RRHH, no son
llamados como miembros permanentes, sin embargo es posible que puedan ser llamados en caso de
necesidad a los responsables de las empresas contratadas o contratar un consultor externo.
En cualquier caso, si el crecimiento de la empresa es el esperado, está planificado que se cuente con
gabinetes de RRHH y jurídico propio, por lo que los responsables de cada área, pasarían a engrosar el
CSI.
Las funciones en materia de seguridad de la información del Comité de Seguridad de la Información
son las siguientes:
Implantar las directrices del Comité de Dirección.
Asignar roles y funciones en materia de seguridad.
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
39
Presentar a aprobación al Comité de Dirección las políticas, normas y responsabilidades en
materia de seguridad de la información.
Validar el mapa de riesgos y las acciones de mitigación propuestas por el responsable de
seguridad de la información (RSI).
Validar el Plan de seguridad de la información o Plan director de seguridad de la información
y presentarlo a aprobación al Comité de Dirección. Supervisar y hacer el seguimiento de su
implantación.
Supervisar y aprobar el desarrollo y mantenimiento del Plan de continuidad de negocio.
Velar por el cumplimiento de la legislación que en materia de seguridad sea de aplicación.
Promover la concienciación y formación de usuarios y liderar la comunicación necesaria.
Revisar las incidencias más destacadas.
Aprobar y revisar periódicamente el cuadro de mando de la seguridad de la información y de
la evolución del SGSI.
5.4.3 Responsable de seguridad de la información (RSI)
La designación de un responsable de seguridad de la información (RSI) es la única vía para avanzar de
forma organizada y paulatina en seguridad de la información, ya que garantiza que hay alguien para
quien la seguridad de la información es una prioridad.
Las funciones en materia de seguridad de la información de los RSI son coordinar las acciones
orientadas a garantizar la seguridad de la información en cualquiera de sus formas (digital, óptica,
papel...) y en todo su ciclo de vida (creación, mantenimiento, distribución, almacenaje y destrucción),
para protegerla en términos de confidencialidad, privacidad, integridad, disponibilidad, autenticidad
y trazabilidad.
El RSI será, para este caso en concreto el responsable del área de seguridad, pudiendo delegar tareas
si lo ve necesario, pero no la responsabilidad de las acciones
Las funciones del RSI se concretan en:
Implantar las directrices del Comité de Seguridad de la Información de la compañía.
Elaborar, promover y mantener una política de seguridad de la información, y proponer
anualmente objetivos en materia de seguridad de la información.
Desarrollar y mantener el documento de Organización de la seguridad de la información en
colaboración con el área de Organización/RR. HH., en el cual se recogerá quién asume cada
una de las responsabilidades en seguridad, así como una descripción detallada de funciones y
dependencias.
Desarrollar, con el soporte de las unidades correspondientes, el marco normativo de
seguridad y controlar su cumplimiento.
Actuar como punto focal en materia de seguridad de la información dentro de la compañía,
lo cual incluye la coordinación con otras unidades y funciones (seguridad física, prevención,
emergencias, relaciones con la prensa...), a fin de gestionar la seguridad de la información de
forma global.
Promover y coordinar entre las áreas de negocio el análisis de riesgos de los procesos más
críticos e información más sensible, y proponer acciones de mejora y mitigación del riesgo, de
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
40
acuerdo con el umbral aceptable definido por el Comité de Dirección. Elevar el mapa de
riesgos y el Plan de seguridad de la información al CSI.
Controlar la gestión de riesgos de nuevos proyectos y velar por el desarrollo seguro de
aplicaciones.
Revisar periódicamente el estado de la seguridad en cuestiones organizativas, técnicas o
metodológicas. Esta revisión ha de permitir proponer o actualizar el Plan de seguridad de la
información, incorporando todas las acciones preventivas, correctivas y de mejora que se
hayan ido detectando. Una vez aprobado dicho plan y el presupuesto por el CSI, el RSI deberá
gestionar el presupuesto asignado y la contratación de recursos cuando sea necesario.
Coordinar acciones con las áreas de negocio para elaborar y gestionar un Plan de continuidad
de negocio de la compañía, basado en el análisis de riesgo y la criticidad de los procesos de
negocio, y la determinación del impacto en caso de materialización del riesgo.
Velar por el cumplimiento legal coordinando las actuaciones necesarias con las unidades
responsables.
Definir la arquitectura de seguridad de los sistemas de información, monitorizar la seguridad
a nivel tecnológico (gestión de trazas, vulnerabilidades, cambios...), hacer el seguimiento de
los incidentes de seguridad y escalarlos al CSI si corresponde.
Elaborar y mantener un plan de concienciación y formación en seguridad de la información
del personal, en colaboración con la unidad responsable de la formación en la compañía.
Hacer seguimiento y revisar los incidentes de seguridad, escalándolos al CSI si corresponde.
Coordinar la implantación de herramientas y controles de seguridad de la información y
definir el cuadro de mando de la seguridad. El RSI debe analizar y mantener actualizado dicho
cuadro de mando, presentándolo al CSI con la periodicidad que se establezca.
5.5 Responsabilidades generales
5.5.1 Nivel dirección
El compromiso de la dirección es vital para el correcto desarrollo e implementación del SGSI, ya que
debe dotar de recursos personales y económicos de la actividad y controlar actividades de manera
que las decisiones y proyectos que se definan cuenten con su aval y sean acordes a los objetivos
estratégicos del negocio.
Es el grupo encargado de definir la estrategia de seguridad y continuidad de la información para la
compañía, definir y aprobar las políticas de seguridad de la información, elaborar y presentar los
proyectos de seguridad, establecer las prioridades para su desarrollo, y revisar la implantación y la
efectividad de las medidas adoptadas. La Alta Dirección demostrará su compromiso a través de:
La revisión y aprobación de las Políticas de seguridad de la información.
La promoción activa de una cultura de seguridad dentro de la compañía.
Facilitar la divulgación de este manual a todos los funcionarios de la compañía.
El aseguramiento de los recursos adecuados para implantar y mantener las Políticas y el SGSI
5.5.2 Nivel técnico operativo
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
41
Tienen las funciones siguientes:
Cumplir con las políticas, normas y procedimientos en materia de seguridad de la información.
Colaborar con el RSI en su definición.
Implantar en los sistemas de información los controles de seguridad prescritos, las acciones
correctoras establecidas y gestionar las vulnerabilidades detectadas.
Requerir la participación del RSI en nuevos proyectos de desarrollo o adaptación/implantación
de productos de mercado, especialmente cuando puedan ser críticos en términos de
confidencialidad, privacidad, integridad, continuidad, autenticidad, no repudio y trazabilidad,
o puedan tener un impacto mediático importante.
Requerir la participación del RSI en la implantación o gestión de los cambios de hardware y
software.
Garantizar la inclusión de la seguridad en todo el ciclo de vida de los datos: creación,
mantenimiento, conservación y destrucción, y en los procesos de gestión de hardware y
software.
Adoptar medidas para proteger la información según su clasificación por parte del
responsable de la información.
Colaborar con el RSI en la identificación de riesgos y la propuesta de soluciones, y colaborar
en las revisiones o auditorías de seguridad que se lleven a cabo.
5.5.3 Nivel de usuario
Son los usuarios de la información y por tal razón son los responsables de cumplir el modelo, políticas
y definiciones establecidas para la compañía. Todo el personal interno o externo con acceso a la
información de la compañía (trabajadores, proveedores en prestación de servicios), tiene la obligación
de:
Mantener la confidencialidad de la información.
Hacer un buen uso de los equipos y de la información a la cual tienen acceso y protegerla de
accesos no autorizados.
Respetar las normas y procedimientos vigentes en materia de seguridad de la información, y
velar por que terceras partes en prestación de servicios también la respeten.
Utilizar adecuadamente las credenciales de acceso a los sistemas de información.
Respetar la legislación vigente en materia de protección de datos de carácter personal y
cualquier otra que sea de aplicación.
Notificar, por la vía establecida, insuficiencias, anomalías o incidentes de seguridad y
situaciones sospechosas que pudieran poner en peligro la seguridad de la información.
6. Definición del Sistema de gestión documental
Nos encontramos que la empresa XXX no tiene definido correctamente un sistema de gestión
documental que permita integrar correctamente el SGSi.
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
42
Un aspecto tan básico como la terminología es una cuestión a resolver en primera instancia, puesto
que facilitará que los diferentes tipos de documentos que se vayan creando se clasifiquen
correctamente desde el primer momento,
Vamos a utilizar la siguiente jerarquía de documentos:
Ilustración 9 Jerarquía de documentos
Cuanto más arriba en la pirámide, más directrices generales y/o estratégicas y menor nivel de
concreción. Asimismo, mayor estabilidad, es decir, poca variación en los documentos, y necesidad de
aprobación por parte de la Dirección.
Por el contrario, cuanto más abajo en la pirámide, mayor nivel de detalle, orientación a personal más
especializado, mucha necesidad de actualización de la documentación y aprobación a niveles
inferiores.
Por norma general, un documento de nivel superior se desarrolla en documentos de nivel inferior.
A continuación se recogen y describen los distintos tipos de documentos que vamos a usar:
Definición Obligatoriedad Aprobado por Divulgación
Políticas Recogen directrices estratégicas, de alto nivel, bajo las cuales se amparará cualquier acción en materia de seguridad de la información. Todo documento de nivel inferior debiera
Las políticas son de obligado cumplimiento y deben ser aprobadas por la dirección
La dirección de la compañía
Todo el personal y colaboradores
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
43
desarrollar en base a una política
Normas Desarrollan la política a un nivel concreto y específico
De obligado cumplimiento por todo el personal y colaborador
Dirección A quien se indique en la guía como objetivo de la misma
Guías Proporciona una solución a un problema determinado
Buenas prácticas. No obligado cumplimiento, pero sí altamente recomendado
Comité asignado
A quien se indique en la guía como objetivo de la misma
Procedimiento Presentan un conjunto de acciones a llevar a cabo para conseguir un determinado objetivo
De obligado cumplimiento por todo el personal y colaborador
Persona responsable del procedimiento
A quien se indique en el procedimiento como objetivo de la misma
Manuales (técnicos y de usuario)
Son listas de tareas o instrucciones detalladas para realizar determinadas acciones o utilizar herramientas concretas, se dividirán en manuales orientados a técnicos o a usuarios finales
Recomendado Responsable Persona que lleva a cabo la acción descrita en el manual
Tabla 8 Tipos de documentos definidos para la organización
6 .1 Nomenclatura de la documentación
Los documentos van a seguir el siguiente formato SGSI-XX-Título.
XX: Tipo de documento. Siendo:
PO: Politica
NO:Norma
GU: Guia
PR: Procedimiento
MU: Manual de Usuario
MT: Manual Técnico
Título: Titulo del documento.
6. 2 Acceso y registro de documentos
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
44
Aún sin una nomenclatura clara, la empresa realizaba el almacenamiento de la documentación de
trabajo a través de una plataforma cloud de gestión documental, que llevaba automáticamente las
versiones y modificaciones de los distintos archivos.
Debido a que se va a seguir usando esta plataforma, al poder consultar versiones anteriores de todos
los documentos, no se incluye una versión del documento en el nombre.
Sin embargo si se hace necesario definir el ciclo de vida de los documentos y la definición de una
estructura documental común, en el que sí vendrá recogido en número de la versión., esto se realizará
en la política correspondiente.
6. 3 Documentos relacionados con políticas de seguridad
Una vez definido el sistema de gestión documental que vamos a definir para la organización y para
dar soporte a las líneas generales antes descritas, la empresa ha definido las siguientes políticas:
Política de Seguridad de alto nivel. Este documento formará parte del documento de políticas de
seguridad de la organización y además tendrá un código de documento independiente denominado
SGSI-PO-Politica_de_Seguridad.
Este documento será aprobado y firmado por la dirección y estará disponible y accesible
públicamente.
El resto de documentos que se describen a continuación, formarán parte del documento de Política
de Seguridad y deberán ser igualmente aprobados y refrendados por la dirección
Política de clasificación de la información.
Política de control de acceso.
Política de uso adecuado de los recursos de la empresa.
Política de acceso remoto o teletrabajo.
Política de comunicación de información.
Política de gestión de activos
Política de gestión de la continuidad
Política de gestión de incidentes
Política de cifrado
Política en seguridad operativa
Política de Recursos Humanos
Política de seguridad física y ambiental.
Política de adquisición, desarrollo y mantenimiento de los sistemas
Política de relación con los suministradores
7. Procedimientos de auditorías internas
7.1 Definición
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
45
Las auditorías internas son el instrumento que se nos proporciona para comprobar que nuestro SGSI
se encuentre correctamente actualizado con respecto a la norma ISO 27001:2013. Mediante estas
auditorías se realiza un control periódico del estado de implementación de la norma ISO. La
fiscalización de la auditoría, se presentará un informe con los resultados y una serie de acciones
correctoras sobre las desviaciones detectadas.
El procedimiento tendrá los siguientes puntos:
Objetivos
Alcance
Calendario
Equipo
Procedimiento de actuación
7.2 Objetivos
El objetivo de la auditoria interna es comprobar la evolución en el cumplimiento de la norma ISO
27001 en la empresa XXX, así como detectar e implementar mejoras que se consideren necesarias
para el cumplimiento de la misma.
7.3 Alcance
El alcance de la auditoría interna es el mismo que el definido en el SGSI. Las auditorías internas se
realizaran de un requerimiento cada vez de la norma ISO27001:2013. El listado de los principales
requerimientos incluidos en la norma es el siguiente.
Contexto de la organización
Liderazgo
Planificación
Soporte
Funcionamiento
Evaluación de Rendimiento
Proceso de mejora
7.4 Calendario
Una vez al año se realizará una auditoría interna, de manera obligatoria en los siguientes ámbitos:
Conformidad con la norma ISO 27001:2013
Funcionamiento de los controles de seguridad lógica
Funcionamiento de los controles de seguridad física
Revisión del plan de continuidad, contingencia y pruebas asociadas
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
46
7.5 Equipo
El equipo estará compuesto por miembros de la empresa y de una empresa externa auditada. El
equipo será elegido en última instancia por el RSI y aprobado por el CSI.
Responsable de auditoría: Encargado de llevar a cabo la auditoría. Encargado de garantizar la
independencia y transparencia de la auditoría.
Equipo Externo: Sin ninguna relación directa con la compañía ni con ninguno de sus
procedimientos. Debe rotar cada dos años. Contará al menos con los siguientes perfiles
o Auditor Jefe: Al menos 5 años de experiencia demostrables en auditoría. Certificado
CISA o CISSP al menos.
o Responsable técnico: Al menos 3 años de experiencia demostrables en auditoría
Personal interno: Técnico asignado por el RSI para dar soporte a las actividades
7.6 Procedimiento
Entrada:
● Requerimiento de la auditoria interna
● Ámbitos afectados
● Informe con cambios organizacionales que afecten a dichos ámbitos
● Informes anteriores relacionados
Proceso:
1. Desde dirección se aprueba de la realización de la auditoria interna correspondiente de
acuerdo con el plan de auditorías de la empresa o un requerimiento.
2. Se procede a la búsqueda y asignación de equipo auditor que no debe tener ninguna
relación con el departamento a auditar. Se puede recurrir a auditores externos, pero
deberán cumplir los Requisitos Auditor, definidos por el responsable de seguridad.
3. Se procede a la comunicación formal de la auditoria a todo el personal afectado con una
antelación mínima de una semana.
4. Realización de la auditoria, que constara como mínimo de los siguientes pasos:
● Reunión inicial
● Revisión documentación
● Verificación “in situ”
● Cuestionario ad-oc de auditoria
● Reunión final
5. Realización del informe de auditoría que será entregado al Responsable de Seguridad de
la Información (RSI), que a su vez lo presentará a la dirección de la empresa.
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
47
6. Se presentara además un informe de NO CONFORMIDADES que será entregado al RSI que
será utilizado para realizar el seguimiento de dichos defectos detectados, así como de las
medidas correctoras a aplicar.
Salida Informe de auditoria.
El informe de auditoría se ajustará a la nomenclatura indicada en el SGSI.
Así mismo el informe deberá contener, al menos:
Fecha de la auditoría
Nombre de los auditores y empresas
Alcance
Ámbito y objetivos (Controles auditados)
Conformidades con la norma o porcentaje de implementación
No conformidades detectadas
Informe ejecutivo
Informe técnico con actuaciones de mejoras
8. Gestión de Indicadores
8.1 Definición
Un indicador de seguridad es un valor mediante el cual se puede comprobar el comportamiento y la
eficacia de los controles de seguridad implantados dentro de un tiempo específico. Para ello se utilizan
métricas de seguridad, que definen las reglas para poder medir de forma real el nivel de seguridad de
la compañía.
8.2 Objetivos
El objetivo de los indicadores es comprobar de una manera objetiva la evolución en el cumplimiento
de la norma ISO 27001 en la empresa XXX, así como proporcionar herramientas que permitan una
medición eficaz de los efectos que la implementación de la norma tiene en la organización.
8.3 Alcance
El alcance es el SGSI y sus procesos asociados. Se tendrán en cuenta todos los dominios de la norma
por separado.
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
48
8.4 Definición de indicadores
Los indicadores se actualizarán y revisarán una vez al año, se realizará una auditoría para comprobar
la eficacia de cada uno de ellos y finalmente se realizará un informe que se enviará a dirección para su
evaluación.
Control Indicadores
A.5- Política de Seguridad A5-I01: Grado de adopción de las políticas de la organización mediante revisiones por parte de la dirección, auditorías u otras autoevaluaciones A5-I02: Número de políticas modificadas o creadas en el último periodo A5-I03: Porcentaje de los controles de la ISO/IEC 27001 aplicables, para los cuales se ha escrito, aprobado y comunicado políticas A5-I04: Número de revisiones realizadas a la política de seguridad
A.6 - Aspectos organizativos de la seguridad de la información
A6-I01: Tareas realizadas y cerradas por el RSI y por cada responsable de realizarlas A6-I02: Tiempo de respuesta en el contacto con las autoridades y grupos de especial interés A6-I03: Número de grupos de especial interés contactados A6-I04: Número y porcentaje de proyectos de seguridad implementados y completados
A.7 - La seguridad ligada a los recursos humanos
A7-I01: Porcentaje de personal nuevo, que ha sido investigado y han pasado las pruebas de acuerdo a las políticas de la compañía antes de empezar a trabajar A7-I02: Tiempo medio de retirada de los derechos de acceso a un trabajador cesado o que cambia de puesto de trabajo
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
49
A7-I03: Número de incidencias causadas por los empleados durante el empleo A7-I04: Número de activos no devueltos por los empleados que cambian de puesto de trabajo o cesan del empleo A7-I05: Número de cursos de formación, concienciación o capacitación en seguridad de la información impartidos a los empleados A7-I06: Número de dispositivos perdidos fuera de la oficina
A.8 - Gestión de Activos A8-I01: Porcentaje de activos inventariados y etiquetados A8-I02: Grado de despliegue del inventario de activos A8-I03: Porcentaje de los activos identificados como críticos para los que se tienen desarrollados planes de tratamiento de riesgos y se mantienen dentro de un rango aceptable establecido. A8-I04: Clasificación de los datos sensibles por su distribución en los sistemas
A9 - Control de Acceso A9-I01: Existencia, revisión y adecuación de políticas de control de accesos A9-I02: Porcentaje de trabajadores cuyas responsabilidades en seguridad de la información se encuentran aceptadas A9-I03: Evaluación de logs y estadísticas del software y hardware, relacionando vulnerabilidades aprovechadas e intentos de acceso a programas, plataformas y edificios A9-I04: Existencia y efectividad de controles de acceso a los sistemas operativos de las plataformas informáticas
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
50
A9-I05: Tiempo medio de retirada de los derechos de acceso a un trabajador cesado o que cambia de puesto de trabajo A9-I06: Número de incidencias reportadas por fallos en el control de acceso
A10 - Cifrado A10-I01: Numero de claves de usuario débiles
A.11 - Seguridad Física y ambiental A11-I01: Número de revisiones periódicas de seguridad física de las instalaciones A11-I02: Número de mantenimientos a los equipos de la compañía A11-I03: Número de material retirado de la compañía A11-I04: Número de incidentes por parte del equipo de seguridad A11-I05: Numero de reportes por parte de la seguridad física
A12 - Seguridad en la operativa A12-I01: Número de no conformidades en auditoría técnica A12-I02: Número de cambios realizados y su gestión A12-I03: Número de copias de seguridad realizadas A12-I04: Número de incidencias en las que se ha tenido que restaurar sistemas o datos A12-I05: Numero de eventos de seguridad A12-I06: Triage, tipos de eventos y tiempo de resolución de incidentes de seguridad A12-I07: Número de vulnerabilidades técnicas, reportadas, evaluadas y solucionadas.
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
51
A13 - Seguridad en las telecomunicaciones
A13-I01: Número de controles de red A13-I02: Número de acuerdos de intercambio de información vigente
A14 - Adquisición, desarrollo y mantenimiento de los sistemas de infor.
A14-I01: Número y evolución de requisitos de seguridad en hardware y software A14-I02: Número de vulnerabilidades descubiertas y reportadas en desarrollo A14-I03: Tiempo de implementación en el cambio de software tras notificación de fallo o vulnerabilidad A14-I04: Porcentaje de tipos de fallos A14-I05: Numero de pruebas funcionales al código A14-I06: Porcentaje de sistemas en los que los controles de validación de datos han sido vulnerados A14-I07: Porcentaje de procesos de cambios realizados conforme a la normativa existente al respecto, en relación al total de cambios solicitados y realizados
A15 - Relaciones con los suministradores
A15-I01: Numero de suministradores y porcentaje de cumplimiento conforme a requerimientos A15-I02: Número de incidencias de incumplimiento por parte de los proveedores A15-I03: Porcentaje de cambios suministrados por terceros A15-I04: Número y porcentaje sobre el total de fallos sobre código suministrados por terceros.
A16 - Gestión de incidentes en la seguridad de la información
A16-I01: Número de incidentes de seguridad A16-I02: Total de incidentes gestionados y porcentajes de cada tipo
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
52
A16-I03: Incidentes de seguridad notificados externamente A16-I04: Incidentes de seguridad notificados a terceros A16-I05: Tiempo de resolución de incidentes de seguridad A16-I06: Número de fuentes de consulta de vulnerabilidades y notificaciones técnicas A16-I07: Tiempo de implementación de información obtenida por CTI A16-I08: Número de peticiones de soporte en temas relacionados con la seguridad de la información P A16-I09: Porcentaje de incidentes de seguridad que generaron costes superiores al umbral aceptable
A17 - Aspectos de seguridad de la información en la gestión de la continuidad de negocio
A17-I01: Efectividad en la implementación de los planes de continuidad de negocio A17-I02: Grado de despliegue de los planes de continuidad del negocio A17-I03: Tiempo de recuperación de sistemas en pruebas A17-I04: Número de actuaciones de recuperación de datos o de continuidad del negocio
A18 - Cumplimiento A18-I01: Número de requerimientos legales agrupados y analizados por estado y nivel de riesgo A18-I02: Porcentaje de requisitos externos claves cumplidos a través de auditorias A18-I03: Efectividad de las auditorías o revisiones normativas A18-I04: Número de recomendaciones de auditoría agrupadas y analizadas A18-I05: Porcentaje de hallazgos de auditoría que han sido resueltos y cerrados respecto del total que se abrió en el mismo período
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
53
A18-I06: Plazos de tiempo en resolver las recomendaciones A18-I07: Grado de despliegue del análisis de riesgos A18-I08: Tendencia en el número de riesgos relacionados con la seguridad de información según nivel de severidad A18-I09: Gastos de la seguridad de la información respecto al presupuesto asignado
9. Procedimiento de revisión por dirección
9.1 Definición
El procedimiento de revisión de dirección consiste en controlar el correcto funcionamiento del SGSI
una vez este implantado. En caso de detectar problema, este control llevara como resultado acciones
correctoras
9.2 Objetivos
El objetivo es múltiple:
Informar y mantener informada a la dirección de las actividades realizadas en relación con el
SGSI
Informar de nuevos riesgos o necesidades que pudieran haber surgido con el paso del tiempo,
reestructurando recursos según las necesidades.
9.3 Alcance
El alcance es el SGSI y sus procesos asociados. Este procedimiento se realizará anualmente.
9.4 Composición
La composición de la revisión por dirección se compondrá de los siguientes miembros:
Comité de dirección
CSI
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
54
RSI
Si así se requiere, es posible, puntualmente invitar a un asesor jurídico o técnico.
La convocatoria se realizará, con al menos tres meses de antelación, se requerirá confirmación de
asistencia. Así mismo se proveerá:
Listado completo de asistentes
Fecha, hora y lugar
Orden del día de puntos a tratar
Informes a revisar
9.5 Procedimiento
Entrada: Resultado de las Auditorías realizadas (internas/externas), y sus revisiones. Se añadirán los
comentarios oportunos.
Problemas y/o incidencias reportadas.
Soluciones o técnicas, con sus procedimientos para mejorar el SGSI.
Las vulnerabilidades y amenazas reportadas que son recurrentes sin aparente solución
todavía.
Cuantificadores de la efectividad dada sobre el SGSI.
Relación de cambios o actualizaciones mayores que puedan desestabilizar el SI.
Valores arrojados por los indicadores sobre los diversos servicios departamentales.
Informes relevantes sobre monitorización de servicios hospitalarios y sus sistemas de
información.
Acciones correctivas tomadas.
Estado del seguimiento de los objetivos
Si procede o no revisiones de la Política de Seguridad y Análisis de Riesgos.
Actas de las reuniones precedentes.
Propuestas de mejora.
Recomendaciones e ideas aportadas.
Proceso: 1. Evaluación y análisis
● El responsable de seguridad presentara cada uno de los informes a dirección y
serán discutidos en común.
● Una serie de decisiones serán consensuadas entre ambos.
2. Toma de decisiones
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
55
● Dirección, en base a la documentación aportada y consensuado junto con el
responsable de seguridad, aprueba las acciones a tomar, plazos y personas
responsables para cada acción.
● Se decide una fecha para la siguiente revisión y se plantean seguimientos
parciales si las disconformidades fueron demasiadas.
Salida Planificación de acciones a tomar.
Valores objetivos de los indicadores.
Evaluación de deficiencia de recursos y sus necesidades.
10. Declaración de aplicabilidad
A.5 Política de Seguridad Aplica Justificación
A5.1 Directrices de la Dirección en seguridad de la información
A.5.1.1 Conjunto de políticas para la seguridad de la información.
SI La dirección se encuentra interesada en la definición
A.5.1.2 Revisión de las políticas para la seguridad de la información
SI La dirección se encuentra interesada en las posteriores revisiones
A.6 Aspectos organizativos de la seguridad de la información
A.6.1 Organización Interna
A.6.1.1 Asignación de responsabilidades para la segur. de la información.
SI Se encuentra definido un mecanismo de asignación de responsabilidades
A.6.1.2 Segregación de tareas. SI Se encuentra definido un mecanismo de segregación de responsabilidades
A.6.1.3 Contacto con las autoridades. SI Es necesario establecer contacto con las autoridades competentes
A.6.1.4 Contacto con grupos de interés especial.
SI Es necesario establecer contacto con las los grupos correspondientes (CSIRT)
A.6.1.5 Seguridad de la información en la gestión de proyectos.
SI Se hace necesario implementar este control
A.6.2 Dispositivos para movilidad y teletrabajo.
A.6.2.1 Política de uso de dispositivos para movilidad
SI Política BYOD
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
56
A.6.2.2 Teletrabajo SI Se teletrabaja de manera frecuente
A.7 La seguridad ligada a los recursos humanos
A.7.1 Antes de la contratación
A.7.1.1 Investigación de antecedentes SI No penales. Se contactará con anteriores empleadores para consolidar lo indicado en su CV
A.7.1.2 Términos y condiciones de contratación
SI Necesario informar de términos y condiciones previos a la contratación
A.7.2 Durante la contratación
A.7.2.1 Responsabilidades de gestión SI Se debe ajustar a la política de seguridad
A.7.2.2 Concienciación, educación y capacitación en segur. de la informac.
SI Es un objetivo dentro de la implementación de SGSI
A.7.2.3 Proceso Disciplinario SI Es necesario definir en caso de incumplir políticas o normativas
A.7.3 Cese o cambio de puesto de trabajo.
A.7.3.1 Cese o cambio de puesto de trabajo. SI Implementar procedimientos necesarios
A.8 Gestión de Activos
A.8.1 La responsabilidad de los activos
A.8.1.1 Inventarios de Activos SI Necesario, a implementar
A.8.1.2 Propiedad de Activos SI Es necesario controlar la propiedad de activos
A.8.1.3 Uso aceptables de los activos SI Si, sobre todo en equipos de uso de empresa
A.8.1.4 Devolución de activos SI En el caso de que sea de la empresa y no haya sido cedido a empleado
A.8.2 Clasificación de la información
A.8.2.1 Directrices de clasificación SI Aplicable a todos los documentos
A.8.2.2 Etiquetado de la información y la manipulación
SI Aplicable a todos los documentos
A.8.2.3 Manipulación de activos SI Necesario que sea definido
A.8.3 Manejo de los soportes de almacenamiento
A.8.3.1 Gestión de soportes extraíbles. SI Para los pertenecientes a la empresa y buenas prácticas para los pertenecientes a los usuarios
A.8.3.2 Eliminación de soportes SI Es necesario definir tanto en local como en cloud (mediante SLA)
A.8.3.3 Soportes físicos en tránsito SI Se hace necesario definir el tratamiento en este caso
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
57
A9 Control de Acceso
A9.1 Requerimiento de negocio de control de acceso
A9.1.1 Política de control de acceso SI Necesario implementar controles técnicos para el acceso
A9.1.2 Control de acceso a las redes y servicios asociados.
SI Necesario implementar controles técnicos para el acceso a redes internas
A9.2 Gestión de acceso de los usuarios
A9.2.1 Gestión de altas/bajas en el registro de usuarios.
SI Necesario definir procedimiento
A9.2.2 Gestión de los derechos de acceso asignados a usuarios.
SI Necesario definir procedimiento
A9.2.3 Gestión de los derechos de acceso con privilegios especiales
SI Necesario definir procedimiento
A9.2.4 Gestión de información confidencial de autenticación de usuarios
SI Necesario definir procedimiento
A9.2.5 Revisión de los derechos de acceso de los usuarios
SI Necesario definir procedimiento
A9.2.6 Retirada o adaptación de los derechos de acceso
SI Necesario definir procedimiento
A9.3 Responsabilidades de los usuarios
A9.3.1 Uso de información confidencial para la autenticación.
SI Aplicado parcialmente
A9.4 Control de acceso a sistemas y aplicaciones
A9.4.1 Restricción del acceso a la información
SI Aplicado parcialmente
A9.4.2 Procedimientos seguros de inicio de sesión
SI Buenas prácticas en usuario, normas en equipo de empresa
A9.4.3 Gestión de contraseñas de usuario SI Formación, concienciación y herramientas
A9.4.4 Uso de herramientas de administración de sistemas.
SI Se realizar parcialmente
A9.4.5 Control de acceso al código fuente de los programas
SI Se realizar parcialmente
A10 Cifrado
A10.1 Controles criptográficos.
A10.1.1 Política de uso de los controles criptográficos
SI Necesario definir
A10.1.2 Gestión de claves SI Necesario Definir
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
58
A.11 Seguridad Física y ambiental
A11.1 Areas Seguras
A11.1.1 Perímetro de seguridad física NO Aplica para CPD. Implementado parcialmente
A11.1.2 Controles de entradas fisicas NO Externo, no depende de la empresa
A11.1.3 Seguridad de oficinas, despachos y recursos.
SI Implementado parcialmente
A11.1.4 Protección contra las amenazas externas y ambientales.
SI Implementado parcialmente
A11.1.5 El trabajo en áreas seguras. SI En CPD
A11.1.6 Zonas de acceso público, de entrega y de carga
NO No implementado. La empresa no tiene un proceso definido para entrega/carga
A11.2 Seguridad de los equipos
A11.2.1 Emplazamiento y protección de equipos
SI Implementado parcialmente
A11.2.2 Instalaciones de suministro SI Implementado parcialmente
A11.2.3 Seguridad del cableado SI Implementado parcialmente
A11.2.4 Mantenimiento de los equipos SI Implementado parcialmente. Sin un procedimiento específico
A11.2.5 Salida de activos fuera de las dependencias de la empresa
SI Necesario que aplique a casos especiales
A11.2.6 Seguridad de los equipos y activos fuera de las instalaciones
SI Necesario que aplique a casos especiales
A11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento
SI Buenas prácticas y concienciación de usuarios
A11.2.8 Equipo informático de usuario desatendido.
SI Buenas prácticas y concienciación de usuarios
A11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla
SI Buenas prácticas y concienciación de usuarios
A12 Seguridad en la operativa
A12.1 Responsabilidades y procedimientos de operación
A12.1.1 Documentación de procedimientos de operación
SI Necesario definir
A12.1.2 Gestión del Cambio SI Necesario definir
A12.1.3 Gestión de capacidades SI Necesario definir por crecimiento inminente
A12.1.4 Separación de entornos de desarrollo, prueba y producción.
SI Implementado parcialmente
A12.2 Protección contra código malicioso
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
59
A12.2.1 Controles contra el código malicioso SI Necesario en equipos de usuario y sistemas de la compañía
A12.3 Copias de seguridad
A12.3.1 Copias de seguridad de la información SI Implementado parcialmente. En parte viene por acuerdos por terceros (SLAs)
A12.4 Registro de actividad y supervisión
A12.4.1 Registro y gestión de eventos de actividad
SI Implementado parcialmente
A12.4.2 Protección de los registros de información
SI Necesario definir
A12.4.3 Registros de actividad del administrador y operador del sistema
SI Necesario definir
A12.4.4 Sincronización de relojes SI Aplica actualmente
A12.5 Control del software en explotación.
A12.5.1 Instalación del software en sistemas en producción
SI Necesario definir procedimiento
A12.6 Gestión de la vulnerabilidad técnica
A12.6.1 Gestión de las vulnerabilidades técnicas
SI Objetivo principal
A12.6.2 Restricciones en la instalación de software.
SI Sólo en equipos de la compañía. Los usuarios pueden instalar lo que quieran en sus equipos
A12.7 Consideraciones de las auditorías de los sistemas de información
A12.7.1 Controles de auditoría de los sistemas de información
SI Necesario definir e implementar
A13 Seguridad en las telecomunicaciones
A13.1 Gestión de la seguridad en las redes
A13.1.1 Controles de red. SI Necesario definir e implementar
A13.1.2 Mecanismos de seguridad asociados a servicios en red
SI Implementado parcialmente
A13.1.3 Segregación de redes SI Necesario definir e implementar
A13.2 Intercambio de información con partes externas
A13.2.1 Políticas y procedimientos de intercambio de información
SI Necesario definir con partes interesadas
A13.2.2 Acuerdos de intercambio SI Necesario definir con partes interesadas
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
60
A13.2.3 Mensajería electrónica. SI Cuando sea necesario, como parte de canal de comunicación.
A13.2.4 Acuerdos de confidencialidad y secreto
SI Cuando sea necesario por niveles de confidencialidad.
A14 Adquisición, desarrollo y mantenimiento de los sistemas de infor.
A14.1 Requisitos de seguridad de los sistemas de información
A14.1.1 Análisis y especificación de los requisitos de seguridad
SI Necesario definir
A14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes
SI Implementado parcialmente. Necesario definir procedimiento
A14.1.3 Protección de las transacciones por redes telemáticas
SI Compras por partes de usuarios
A14.2 Seguridad en los procesos de desarrollo y soporte
A14.2.1 Política de desarrollo seguro de software
SI Sin política o guía común definida. Necesario formar a desarrolladores.
A14.2.2 Procedimientos de control de cambios en los sistemas
SI Implementado parcialmente. Necesario definir
A14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el S.O
SI Implementado parcialmente. Necesario definir
A14.2.4 Restricciones a los cambios en los paquetes de software
SI Aplicable a sistemas de la organización.
A14.2.5 Uso de principios de ingeniería en protección de sistemas
SI Sin política o guía común definida. Necesario formar a desarrolladores.
A14.2.6 Seguridad en entornos de desarrollo SI Necesario concienciar y buenas prácticas
A14.2.7 Externalización del desarrollo de software
NO No aplica. No existe outsourcing de este tipo.
A14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas
SI Sin política o guía común definida. Necesario formar a desarrolladores.
A14.2.9 Pruebas de aceptación SI Necesario definir
A14.3 Datos de prueba
A14.3.1 Protección de los datos utilizados en pruebas
SI Necesario definir procedimiento y concienciación de usuarios
A15 Relaciones con los suministradores
A15.1 Seguridad de la información en las relaciones con suministradores
A15.1.1 Política de seguridad de la información para suministradores
SI Definir y proporcionar cuando corresponda
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
61
A15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores
SI Definir y proporcionar o exigir cuando corresponda
A15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones
SI Definir y proporcionar o exigir cuando corresponda
A15.2 Gestión de la prestación del servicio por suministradores
A15.2.1 Supervisión y revisión de los servicios prestados por terceros
SI Necesario definir
A15.2.2 Gestión de cambios en los servicios prestados por terceros
NO No aplica en este momento
A16 Gestión de incidentes en la seguridad de la información
A16.1 Gestión de incidentes de seguridad de la información y mejoras.
A16.1.1 Responsabilidades y procedimientos SI Necesario definir responsabilidades y procedimientos de gestión de incidentes
A16.1.2 Notificación de los eventos de seguridad de la información
SI Necesario definir procedimientos de escalado para mejorar la toma de decisiones
A16.1.3 Notificación de puntos débiles de la seguridad
SI Necesario definir procedimientos de notificación
A16.1.4 Valoración de eventos de seguridad de la información y toma de
decisiones
SI Necesario definir procedimientos de escalado para mejorar la toma de decisiones
A16.1.5 Respuesta a los incidentes de seguridad
SI Necesario definir procedimientos y crear equipo de seguridad
A16.1.6 Aprendizaje de los incidentes de seguridad de la información
SI Necesario definir procedimientos de escalado para mejorar la toma de decisiones
A16.1.7 Recopilación de evidencias SI Bien por el equipo de seguridad o externamente según sea necesario
A17 Aspectos de seguridad de la información en la gestión de la continuidad de negocio
A17.1 Continuidad de la seguridad de la información
A17.1.1 Planificación de la continuidad de la seguridad de la información
SI Necesario realizar y probar plan de contingencia
A17.1.2 Implantación de la continuidad de la seguridad de la información
SI Necesario implantar
A17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad
SI Necesario verificar y revisar periódicamente
A17.2 Redundancias
A17.2.1 Disponibilidad de instalaciones para el procesamiento de la información
NO No está planeado que haya ninguna redundancia de instalaciones. Parte del procesamiento se realiza en cloud
A18 Cumplimiento
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
62
A18.1 Cumplimiento de los requisitos legales y contractuales.
A18.1.1 Identificación de la legislación aplicable
SI Necesario identificar y determinar
A18.1.2 Derechos de propiedad intelectual (DPI)
SI Necesario gestionar
A18.1.3 Protección de los registros de la organización.
SI Implementado parcialmente. Necesario definir procesos
A18.1.4 Protección de datos y privacidad de la información personal
SI Implementado parcialmente. Necesario definir procesos
A18.1.5 Regulación de los controles criptográficos
SI Implementado parcialmente. Necesario definir procesos
A18.2 Revisiones de la seguridad de la información
A18.2.1 Revisión independiente de la seguridad de la información
SI Está planificado auditorías externas e independientes
A18.2.2 Cumplimiento de las políticas y normas de seguridad
SI Necesario en las revisiones.
A18.2.3 Comprobación del cumplimiento SI En última instancia, responsabilidad de dirección
Tabla 9 Declaración de aplicabilidad
11. Análisis y evaluación de riesgos
11.1 Definición de la metodología
El análisis de riesgos es un proceso que comprende la identificación de activos informáticos, sus
vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de
ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar,
disminuir, transferir o evitar la ocurrencia del riesgo.
El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos
pautados:
● Determinar los activos relevantes para la Organización, su interrelación y su valor, en el
sentido de qué perjuicio (coste) supondría su degradación
● Determinar a qué amenazas están expuestos aquellos activos
● Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
63
● Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la
amenaza
● Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa
de materialización) de la amenaza.
Ilustración 10 Diagrama de relaciones
La evaluación del riesgo, de manera general, incluye las siguientes actividades y acciones:
● Identificación de los activos.
● Identificación de los requisitos legales y de negocio que son relevantes para la identificación
de los activos.
● Valoración de los activos identificados, teniendo en cuenta los requisitos legales y de negocio
identificados anteriormente, y el impacto de una pérdida de confidencialidad, integridad y
disponibilidad.
● Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
● Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
● Cálculo del riesgo.
● Evaluación de los riesgos frente a una escala de riesgos preestablecidos.
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
64
Concretamente, la aplicación de la metodología MAGERIT nos permite diferenciar 10 pasos en la
realización del análisis de riesgos.
Ilustración 11 Metodología de análisis de riesgos
11.1.1 Toma de datos y proceso de información
En esta fase debe definirse el alcance que se ha de estudiar o analizar, ya que, dependiendo de éste,
será más o menos costoso el proceso. A mayor alcance, mayor es el número de riesgos analizables.
Para este caso en particular el alcance va a ser:
● Seguridad física y lógica de las dos oficinas
● Hardware, software, interfaces de sistemas, datos de información en dichas localizaciones.
● Infraestructuras desplegadas en las localización (P.e: CDP)
● Personal contratado
● Sistemas y plataformas en la nube
● Activos Intangibles
11.1.2 Establecimiento de parámetros
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
65
En esta fase se procederá a establecer los parámetros que se usarán durante el proceso de análisis de
riesgo.
Los parámetros que vamos identificar son los siguientes:
● Valor de los activos
● Vulnerabilidad
● Impacto
● Efectividad del control de seguridad
Así mismo se realizará una tipificación de los mismos, esto nos permitirá su identificación posterior
mediante agrupaciones por tipo de activo. Esta agrupación nos ayudara también a la identificación de
amenazas potenciales y la elección de salvaguardas apropiadas para cada uno de los tipos. A
continuación se presentan los distintos tipos de activo considerados junto con la abreviatura utilizada
para cada uno (basado en el Libro II de MAGERIT, apart 2).
Tipo Abreviatura
Instalaciones [L]
Hardware [HW]
Software [SW]
Datos/Información [D]
Redes de comunicaciones [COM]
Equipamiento Auxiliar [AUX]
Personal [P]
Soporte de información [MEDIA]
Tabla 10 Tipos de activos según Magerit v3.0
Valor de los activos
Este parámetro tiene el objeto de asignar una valoración económica a todos los activos de una
organización que se pretenden analizar. Para realizar una correcta valoración de los activos, se debe
tener presente tanto el valor de uso del activo como el valor de configuración y de reposición. Para el
caso de la empresa se definen los siguientes valores.
Valoración Rango Valor
Muy alto > 250.001 Euros 300.000 Euros Alto Entre 100.001 y 250.000 Euros 175.000 Euros
Medio Entre 15.001 y 100.000 Euros 60.000 Euros
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
66
Bajo Entre 5001 y 15000 Euros 10.000 Euros
Muy bajo <5000 Euros 2500 Euros
Tabla 11 Criterios de valoración de activos
Vulnerabilidad
Las vulnerabilidades se entienden como una frecuencia de ocurrencia de una amenaza; es decir, la
frecuencia con la que puede una organización sufrir alguna amenaza en concreto. Se van a clasificar
de la siguiente manera:
Probabilidad Frecuencia Valor
Muy Alta Probabilidades de ocurrencia 1 vez al día 1
Alta Probabilidades de ocurrencia 1 vez cada 2
semanas
26/365=0,071233
Media Probabilidades de ocurrencia 1 vez cada 2
meses
6/365=0,016438
Baja Probabilidades de ocurrencia 1 vez cada 6
meses
2/365=0,005479
Remota Probabilidades de ocurrencia 1 vez al año 1/365=0,002739
Tabla 12 Frecuencia de ocurrencias
Impacto
El impacto se define como el tanto por ciento del valor del activo que se pierde en el caso de que
suceda un incidente sobre él, describiendo la degradación que el activo sufre en términos de
integridad, disponibilidad y confidencialidad
Valor Criterio Descripción
10 Daño muy grave a la organización La explotación de la vulnerabilidad puede
resultar en altas pérdidas financieras por:
daño de activos o recursos tangibles,
impedimento del logro de los objetivos de
la organización, deterioro de la
reputación e intereses.
Mayor de 500.001 Euros
7-9
Daño grave a la organización Pérdida financiera significativa, amenaza
con pérdida de imagen de la
Organización.
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
67
Hasta 500.000
4-6
Daño importante a la organización Pérdida financiera moderada, no
amenaza la imagen y confianza de la
Organización
Hasta 250.000 Euros
1-3
Daño menor a la organización Pérdida financiera menor.
Hasta 50.000 Euros
0
Irrelevante para la organización Costos asociados bajos.
Menor de 5.000 Euros
Tabla 13 Definición de indicadores de impacto
Efectividad del control de seguridad
Este parámetro medirá la influencia que las medidas de protección tendrán en la organización. Dicho
de otro modo: Cómo las diferentes medidas que podamos implementar pueden reducir el riesgo
A la hora de reducir un riesgo, hay que tener en cuenta que las medidas de seguridad tienen dos
modos de actuar contra él: o bien reducen la vulnerabilidad (la frecuencia de ocurrencia), o bien
reducen el impacto que provoca dicho riesgo.
Para este parámetro, también debe realizarse una clasificación de niveles válida para todo el estudio.
Variación impacto/vulnerabilidad Valor
Muy alto 95%
Alto 75%
Medio 50%
Bajo 30%
Muy bajo 10%
Tabla 14 Variación immpacto/vulnerabilidad
11.2 Identificación y valoración de activos
Un activo es cualquier elemento de la empresa que tiene un valor y es necesario proteger.
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
68
El objetivo de este apartado es caracterizar los elementos, sus relaciones con otros activos y
determinar en qué dimensiones de seguridad son importantes y valorados
En este apartado se procederá a identificar y valorar los activos de la empresa, siendo activos, por
ejemplo:
● Los equipos informáticos que permiten hospedar datos, aplicaciones y servicios.
● Las aplicaciones informáticas (software) que permiten manejar los datos.
● Los servicios que se pueden prestar gracias a aquellos datos,
● Los servicios que se necesitan para poder gestionar dichos datos
● Los dispositivos de soporte para el almacenamiento de datos.
● El equipamiento auxiliar que complementa el material informático.
● Las redes de comunicaciones que permiten intercambiar datos.
● Las instalaciones que acogen equipos informáticos y de comunicaciones.
● Las personas que explotan u operan todos los elementos anteriormente citados.
En cuanto a la valoración, esta depende de los atributos que hacen valioso el activo (Ej.:
Autenticidad, integridad, confidencialidad, disponibilidad, trazabilidad). Una dimensión es una faceta
o aspecto en particular (confidencialidad) y puede ser usada para valorar el activo de forma
independiente de lo que ocurra con otras dimensiones.
Para valorar los activos es muy importante usar una escala común o criterio homogéneo que permita
comparar análisis realizados en ejercicios previos, para ello vamos a hacer uso del patrón ACIDA, en
el cual se valora el activo en las distintas dimensiones de seguridad y ponderando cuál de ellas resulta
más crítica e importante para cada activo. Esta ponderación nos ayudará a identificar qué dimensión
deberá ser mejor protegida. Las dimensiones ACIDA son las siguientes:
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
69
Propiedad Definición
[A] Authenticity Propiedad o característica consistente en que una entidad es quien dice
ser o bien que garantiza la fuente de la que proceden los datos. [UNE
71504:2008]
[C] Confidentiality Propiedad o característica consistente en que la información ni se pone a
disposición, ni se revela a individuos, entidades o procesos no autorizados.
[UNE-ISO/IEC 27001:2007]
[I] Integrity Propiedad o característica consistente en que el activo de información no
ha sido alterado de manera no autorizada. [ISO/IEC 13335-1:2004]
[D] Disponibility Propiedad o característica de los activos consistente en que las entidades
o procesos autorizados tienen acceso a los mismos cuando lo requieren.
[UNE 71504:2008]
[A] Accountability Propiedad o característica consistente en que las actuaciones de una
entidad pueden ser imputadas exclusivamente a dicha entidad. [UNE
71504:2008]
Tabla 15 Dimensiones ACIDA
Para la realización de este apartado hemos dividido los activos en las dos oficinas y hemos creado un
apartado para los recursos híbridos y los sistemas en la nube.
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
70
Oficina Barcelona
Ámbito Activo ID Valor Aspectos críticos A C I D A
L Rack principal (CPD) [L1] 10 8 9 10 10 8 L Archivo [L2] 8 9 9 7 8 7 AUX Aire acondicionado oficina [AUX1] 2 - - - 7 - AUX Aire acondicionado CPD [AUX2] 5 - - - 8 - AUX UPS Rack [AUX3] 5 - - - 8 - AUX Cableado LAN [AUX4] 7 - - - 9 - AUX Cableado Eléctrico [AUX5] 7 - - - 9 - HW Punto de acceso WIFI [AUX6] 5 2 7 3 6 5 HW Switch [AUX7] 5 4 5 7 7 5 COM Router fibra une las sedes y da conexión a
Comprobar que todos los procesos e información se encuentra correctamente encuadrada en el entorno legislativo y de propiedad intelectual
Descripción
Mediante un experto externo se realizará una auditoría Se realizará anualmente.
Beneficios
Adecuación al marco normativo actual
Comprobación de la propiedad intelectual
Relaciones -
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
112
12.4 Planificación de ejecución
A continuación se presenta el diagrama de Gantt donde se puede observar detalladamente la
planificación de la ejecución de los distintos proyectos, así como sus relaciones.
ID Task Name Start Finish Duration2016 2017 2018
Sep Oct Nov Dec Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Jan Feb Mar Apr May Jun Jul Aug
1 8w26/10/201601/09/2016PR01 - COPIAS DE SEGURIDAD
2 8w09/11/201615/09/2016PR02 - ORGANIZACIÓN Y CLASIFICACION DE LA INFORMACION
3 12w06/02/201715/11/2016PR03 - DEFINICION DE UN BASELINE EN SOFTWARE y HARDWARE
4 24w01/08/201715/02/2017PR04 - PLAN DE CONTINUIDAD DE NEGOCIO
5 10w08/02/201701/12/2016PR05 - POLITICA DE SEGURIDAD DE LA INFORMACION
6 20w15/09/201701/05/2017PR06 - POLITICA DE CONTROL DE ACCESO
7 4w14/03/201715/02/2017PR07 - DEFINICION DE POLITICAS DE ACTUALIZACION
8 8w26/10/201601/09/2016PR08 - PROGRAMA DE FORMACION CONTINUA
9 8w24/11/201702/10/2017PR09 - RRHH
10 60w25/05/201803/04/2017PR10 - GESTION DE INCIDENTES DE SEGURIDAD , INTEGRACIÓN SIEM Y LOGS E INTELIGENCIA DE AMENAZAS
11 20w18/07/201701/03/2017PR11 – PLAN DE GESTION DE ACTIVOS DE EMPRESA Y EMPLEADOS
12 12w23/07/201801/05/2018PR12 – GESTION DE PROVEEDORES
13 4w29/05/201702/05/2017PR13 – CUMPLIMIENTO DE LEGISLACION Y PROPIEDAD INTELECTUAL
Ilustración 15 Diagrama de Gantt de la ejecución de los proyectos
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
113
12.5 Planificación económica de los proyectos
A continuación detallamos el coste de los distintos proyectos, así como el coste del mantenimiento de
los mismos.
Proyecto Coste Implementación Coste Mantenimiento
PR01 – COPIAS DE SEGURIDAD 34.640 € 10.440 €
PR02 - ORGANIZACIÓN Y CLASIFICACION DE LA INFORMACION
2.480 € 4.000 €
PR03 - DEFINICION DE UN BASELINE EN SOFTWARE y HARDWARE
4.640 € 6.400 €
PR04 - PLAN DE CONTINUIDAD DE NEGOCIO
16.000 € 7.200 €
PR05 - POLITICA DE SEGURIDAD DE LA INFORMACION
4.560 € 9.600 €
PR06 - POLITICA DE CONTROL DE ACCESO
36.200 € 6.240 €
PR07 - DEFINICION DE POLITICAS DE ACTUALIZACION
3.200 € 4.640 €
PR08 - PROGRAMA DE FORMACION CONTINUA
27.280 € 27.280 €
PR09 – RRHH 3.200 € 4.800 €
PR10 - GESTION DE INCIDENTES DE SEGURIDAD , INTEGRACIÓN SIEM Y LOGS E INTELIGENCIA DE AMENAZAS
251.000 € 69.600 €
PR11 – PLAN DE GESTION DE ACTIVOS DE EMPRESA Y EMPLEADOS
9.600 € 8.800 €
PR12 – GESTION DE PROVEEDORES
7.360 € 6.400 €
PR13 – CUMPLIMIENTO DE LEGISLACION Y PROPIEDAD INTELECTUAL
1.600 € 1.600 €
Total 401.760 € 167.000 € Tabla 28 Desglose de costes de implementación y mantenimiento
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
114
12.6 Evolución del riesgo tras implantación
A continuación se presenta el cálculo del impacto y del riesgo tras la implantación de los distintos
proyectos, tal como hicimos en los puntos anteriores, el nivel restante de riesgo después de su
tratamiento se denomina riesgo residual.
ACTIVOS [HW] Frecuencia A C I D A
[HW1]Firewall Media 70,00% 50,00% 90,00% [HW2]Centralita IP Media 70,00% 50,00% 90,00% [HW3]FAX Media 70,00% 50,00% 90,00% [HW4]3 impresoras/Escaner red Laser
Media 70,00% 50,00% 90,00%
[HW5]Servidor Sistema de integración continua (linux)
Media 70,00% 50,00% 90,00%
[HW6]Servidor VPN Media 70,00% 50,00% 90,00% [HW7]IDS Media 70,00% 50,00% 90,00% [HW8]SIEM Media 70,00% 50,00% 90,00% [HW9]Servidores de Logs Media 70,00% 50,00% 90,00% [HW10]20 Portatiles empleados Media 70,00% 50,00% 90,00% [HW11]2 Portátiles para el uso interno en CPD y similar
Media 70,00% 50,00% 90,00%
[HW12]20 Móviles empleados Media 70,00% 50,00% 90,00% [HW13]10 tablets android Media 70,00% 50,00% 90,00% [HW14]20 Dispositivos conexión 3G/4G
Media 70,00% 50,00% 90,00%
[HW15]Punto de acceso WIFI Media 70,00% 50,00% 90,00% [HW16]1 Switch Media 70,00% 50,00% 90,00% [HW17]Firewall Media 70,00% 50,00% 90,00% [HW18]Centralita IP Media 70,00% 50,00% 90,00% [HW19]FAX Media 70,00% 50,00% 90,00% [HW20]2 impresoras/Escaner red Laser
Media 70,00% 50,00% 90,00%
[HW21]10 Portatiles empleados Media 70,00% 50,00% 90,00% [HW22]1 Portátiles para el uso interno en CPD y similar
Media 70,00% 50,00% 90,00%
[HW23]10 Móviles empleados Media 70,00% 50,00% 90,00% [HW24]10 tablets android Media 70,00% 50,00% 90,00% [HW25]10 Dispositivos conexión 3G/4G
Media 70,00% 50,00% 90,00%
LISTA DE AMENAZAS
[N.1] Fuego Remota 80,00%
[N.2] Daños por agua Remota 30,00%
[N.*] Desastres naturales Remota 50,00%
[I.1] Fuego Remota 90,00%
[I.2] Daños por agua Remota 30,00%
[I.*] Desastres industriales Remota 50,00%
[I.3] Contaminación mecánica Remota 40,00%
[I.4] Contaminación electromagnética
Remota 30,00%
[I.5] Avería de origen físico o lógico Remota 50,00%
[I.6] Corte del suministro eléctrico Baja 60,00%
[I.7] Condiciones inadecuadas de temperatura o humedad
Baja 50,00%
[I.11] Emanaciones electromagnéticas
Remota 25,00%
[E.2] Errores del administrador Baja 10,00% 10,00% 25,00%
[E.23] Errores de mantenimiento / actualización de equipos (hardware)
Baja 10,00% 20,00% 55,00%
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
115
[E.24] Caída del sistema por agotamiento de recursos
Baja 10,00% 50,00%
[E.25] Pérdida de equipos Media 60,00% 70,00%
[A.6] Abuso de privilegios de acceso Remota 70,00% 50,00%
[A.7] Uso no previsto Baja 60,00% 50,00%
[A.11] Acceso no autorizado Media 70,00% 50,00%
[A.23] Manipulación de los equipos Media 70,00% 30,00%
[A.24] Denegación de servicio Baja 35,00%
[A.25] Robo Remota 60,00% 60,00%
[A.26] Ataque destructivo Remota 60,00%
Tabla 29 Evolución del riesgo en activos HW
ACTIVOS [SW] Frecuencia [A] [C] [I] [D] [A]
[SW1] 20 Libreoffice Alta 70,00% 80,00% 80,00% 80,00%
[SW2] 20 Cliente programa VPN Alta 70,00% 80,00% 80,00% 80,00%
[SW3] 5 Phtoshop Alta 70,00% 80,00% 80,00% 80,00%
[SW4] IDE Desarrollo Alta 70,00% 80,00% 80,00% 80,00%
[SW5] 10 Libreoffice Alta 70,00% 80,00% 80,00% 80,00%
[SW6] 10 Cliente programa VPN Alta 70,00% 80,00% 80,00% 80,00%
[SW7] IDE Desarrollo Alta 70,00% 80,00% 80,00% 80,00%
LISTA DE AMENAZAS
[I.5] Avería de origen físico o lógico
Baja 55,00%
[E.1] Errores de los usuarios Baja 5,00% 10,00% 10,00%
[E.2] Errores del administrador Remota 25,00% 10,00% 25,00%
[E.8] Difusión de software dañino
Baja 10,00% 20,00% 50,00%
[E.9] Errores de [re-]encaminamiento
Remota 10,00%
[E.10] Errores de secuencia Remota 10,00%
[E.15] Alteración accidental de la información
Remota 10,00%
[E.18] Destrucción de información
Baja 50,00%
[E.19] Fugas de información Baja 15,00%
[E.20] Vulnerabilidades de los programas (software)
Baja 30,00% 30,00% 25,00%
[E.21] Errores de mantenimiento / actualización de programas (software)
Alta 40,00% 30,00%
[A.5] Suplantación de la identidad del usuario
Media 70,00% 50,00% 70,00%
[A.6] Abuso de privilegios de acceso
Baja 50,00% 25,00% 25,00%
[A.7] Uso no previsto Remota 50,00% 10,00% 50,00%
[A.8] Difusión de software dañino
Media 80,00% 80,00% 80,00%
[A.9] [Re-]encaminamiento de mensajes
Remota 30,00%
[A.10] Alteración de secuencia Remota 25,00%
[A.11] Acceso no autorizado Remota 25,00% 25,00%
[A.15] Modificación deliberada de la información
Remota 50,00%
[A.18] Destrucción de información
Baja 10,00%
[A.19] Divulgación de información
Media 50,00%
[A.22] Manipulación de programas
Baja 60,00% 60,00% 80,00%
Tabla 30 Evolución del riesgo en activos SW
ACTIVOS [DATOS] Frecuencia [A] [C] [I] [D] [A]
[DATOS1] Servidores CRM: Nóminas, datos de cliente y negocio
Alta 70,00% 70,00% 65,00% 65,00%
[DATOS2] Servidor Backup Alta 70,00% 70,00% 65,00% 65,00%
TFM-Sistemas de Gestión de Seguridad · TFM · 2016-17 Adrián Belmonte Martín
116
[DATOS3] Imagenes corporativas
Alta 70,00% 70,00% 65,00% 65,00%
[DATOS4] Recursos artisticos Alta 70,00% 70,00% 65,00% 65,00%
[DATOS5] Estadísticas Juego Usuario (Amazon)
Alta 70,00% 70,00% 65,00% 65,00%
[DATOS6] Servidor de almacenaje de código (externo)
Alta 70,00% 70,00% 65,00% 65,00%
[DATOS7] Servidor de recursos y documentación (externo)
Alta 70,00% 70,00% 65,00% 65,00%
[DATOS8] Servidor de correo (Externo)
Alta 70,00% 70,00% 65,00% 65,00%
LISTA DE AMENAZAS
E.1] Errores de los usuarios Alta 15,00% 5,00% 15,00%
[E.2] Errores del administrador Baja 10,00% 40,00% 20,00%